"Sensitive Data Exposure" Nedir,Nasıl Yararlanılır?

xNovem · 19 Tem 2023

SELAM DOSTLAR KONUMUZ
"Sensitive Data Exposure"

Nedir bu Sensitive Data Exposure

Sensitive Data Exposure, yani Hassas veri maruziyeti web siteleri veya uygulamalarda, hassas ve gizli bilgilerin (örneğin, kullanıcı adları, şifreler, kredi kartı bilgileri, sağlık verileri vb.) gereksiz veya yetersiz güvenlik önlemleri nedeniyle izinsiz kişilerin eline geçmesi veya erişilebilir hale gelmesi durumudur.

Peki nasıl bu açıktan yararlanabilir?

Bir hedef sitemiz var ve bu sitemiz hedefsite.com olsun

Sitemize giriş yaptık bu açığı nasıl farkedeceğiz yapmamız gereken çok kolay bir adım var site url sinin sonuna /.env eklemek evet bukadar basit .d

Karşımıza şu şekilde bir ekran gelmesi gerek ;

Karşımıza bu ekran geldi ne

yapmalıyız?

Gördünüz dimi, evet orada parlıyor ben burdayım diyor.

Kod:

DB_CONNECTION=mysql DB_HOST=localhost DB_PORT=3306 DB_DATABASE=atmiya_db DB_USERNAME=admin DB_PASSWORD=}-9x%YmL<^xp~Pbz

Göründüğü gibi "MySql" verisi tutuluyor ne yapmamız gerek peki?
şimdi burada bizi durduracak bir sorun var nedir bu "izinler"

Hemen kısaca izinlerden bahsedeyim;

eğer ki sitede linux dosyalarının izinlerinden misal veriyorum 0650 0655 r-w-r-r izinli degilse direkt public izinli yani 0755 ise permissionlar direkt dosyalar ifsa olur ve saldırganın site kurucusu tarafından belirli dosya/dizinlere kimin erişebileceğini sağlar.

Tamamdır şimdi kaldığımız yerden devam edelim , demiştik ki "MySql" kullanıyor. URL sonuna "/phpmyadmin" getirerek panele erişmemiz gerekiyor.
Örnek ;

httpd://hedefsite.com/phpmyadmin

panele erişim sağladık şimdi yukarda gördüğünüz görselde bize şu bölüm lazım;

DB_USERNAME=admin
DB_PASSWORD=}-9x%YmL<^xp~Pbz

girişi sağladıkdan sonra veriler önünüzde oluyor size hangi bilgiler lazım ise alabilirsiniz iyi forumlar.

S3SS1Z T3AM · 19 Tem 2023

resimleri küçültmen gerekiyor... Eline sağlık

Arenklord · 19 Tem 2023

Eline sağlık novem

Yagami Light0 · 19 Tem 2023

xNovem' Alıntı:
SELAM DOSTLAR KONUMUZ
"Sensitive Data Exposure"

Nedir bu Sensitive Data Exposure

Sensitive Data Exposure, yani Hassas veri maruziyeti web siteleri veya uygulamalarda, hassas ve gizli bilgilerin (örneğin, kullanıcı adları, şifreler, kredi kartı bilgileri, sağlık verileri vb.) gereksiz veya yetersiz güvenlik önlemleri nedeniyle izinsiz kişilerin eline geçmesi veya erişilebilir hale gelmesi durumudur.

Peki nasıl bu açıktan yararlanabilir?

Bir hedef sitemiz var ve bu sitemiz hedefsite.com olsun

Sitemize giriş yaptık bu açığı nasıl farkedeceğiz yapmamız gereken çok kolay bir adım var site url sinin sonuna /.env eklemek evet bukadar basit .d

Karşımıza şu şekilde bir ekran gelmesi gerek ;

Karşımıza bu ekran geldi ne
yapmalıyız?

Gördünüz dimi, evet orada parlıyor ben burdayım diyor.

Kod:

DB_CONNECTION=mysql DB_HOST=localhost DB_PORT=3306 DB_DATABASE=atmiya_db DB_USERNAME=admin DB_PASSWORD=}-9x%YmL<^xp~Pbz

Göründüğü gibi "MySql" verisi tutuluyor ne yapmamız gerek peki?
şimdi burada bizi durduracak bir sorun var nedir bu "izinler"

Hemen kısaca izinlerden bahsedeyim;

eğer ki sitede linux dosyalarının izinlerinden misal veriyorum 0650 0655 r-w-r-r izinli degilse direkt public izinli yani 0755 ise permissionlar direkt dosyalar ifsa olur ve saldırganın site kurucusu tarafından belirli dosya/dizinlere kimin erişebileceğini sağlar.

Tamamdır şimdi kaldığımız yerden devam edelim , demiştik ki "MySql" kullanıyor. URL sonuna "/phpmyadmin" getirerek panele erişmemiz gerekiyor.
Örnek ;

httpd://hedefsite.com/phpmyadmin

panele erişim sağladık şimdi yukarda gördüğünüz görselde bize şu bölüm lazım;

DB_USERNAME=admin
DB_PASSWORD=}-9x%YmL<^xp~Pbz

girişi sağladıkdan sonra veriler önünüzde oluyor size hangi bilgiler lazım ise alabilirsiniz iyi forumlar.

kisa ve oz . eline saglik . "eğer ki sitede linux dosyalarının izinlerinden misal veriyorum 0650 0655 r-w-r-r izinli degilse direkt public izinli yani 0755 ise permissionlar direkt dosyalar ifsa olur ve saldırganın site kurucusu tarafından belirli dosya/dizinlere kimin erişebileceğini sağlar.' bunu bir azdaha acarmisiniz?

El Petr · 19 Tem 2023

Eline koluna sağlık yaralı faydalı konu

Noxe · 19 Tem 2023

Eline sağlık

xNovem · 19 Tem 2023

Yagami Light0' Alıntı:
kisa ve oz . eline saglik . "eğer ki sitede linux dosyalarının izinlerinden misal veriyorum 0650 0655 r-w-r-r izinli degilse direkt public izinli yani 0755 ise permissionlar direkt dosyalar ifsa olur ve saldırganın site kurucusu tarafından belirli dosya/dizinlere kimin erişebileceğini sağlar.' bunu bir azdaha acarmisiniz?

aslında gerekli olan şeyleri yazdım yani izinler site içersindeki dizin ve dosyalara site sahibinin kimlerin erişebileceğini sağlamasına yarar biraz öz geçtim

HaCkEr_33 · 19 Tem 2023

eline saglik novem

'Efkar · 19 Tem 2023

Elinize Sağlık

HaCkEr_33 · 19 Tem 2023

Yagami Light0' Alıntı:
kisa ve oz . eline saglik . "eğer ki sitede linux dosyalarının izinlerinden misal veriyorum 0650 0655 r-w-r-r izinli degilse direkt public izinli yani 0755 ise permissionlar direkt dosyalar ifsa olur ve saldırganın site kurucusu tarafından belirli dosya/dizinlere kimin erişebileceğini sağlar.' bunu bir azdaha acarmisiniz?

diyelim senin yagami isimli bir folderin var. o folderin izini 0755 yani sitene giren herkes /yagami folderini aratsa direk o foldere girecek ve icindeki bilgileri gorecek.
diyelim senin yagami isimli folderinin iznini degisip 0750 yaptin. ozaman senin websitende yagami folderini aratsalar 403 Forbidden hatasi gelecek ve girme izniniz yok diyecek. Anladin sanirim

Yagami Light0 · 19 Tem 2023

HaCkEr_33' Alıntı:
diyelim senin yagami isimli bir folderin var. o folderin izini 0755 yani sitene giren herkes /yagami folderini aratsa direk o foldere girecek ve icindeki bilgileri gorecek.
diyelim senin yagami isimli folderinin iznini degisip 0750 yaptin. ozaman senin websitende yagami folderini aratsalar 403 Forbidden hatasi gelecek ve girme izniniz yok diyecek. Anladin sanirim

haa tamam anladim .

THE zoRRo · 20 Tem 2023

Eline sağlık.

Yeni Kullanıcıyım Ben · 20 Tem 2023

Elinize sağlık vaktim olduğunda okuyacağım, güzele benziyor.

Ez_Zero · 20 Tem 2023

Eline sağlık gayet başarılı

Safak-Bey · 20 Tem 2023

Eline sağlık.

Floria1 · 20 Tem 2023

Eline sağlık

lreax · 20 Tem 2023

eline sağlık

H@cked BaBy · 20 Tem 2023

Ben burdayım parlıyorum diyor.

Cidden eline sağlık güzel olmuş

xNovem · 20 Tem 2023

S3SS1Z T3AM' Alıntı:
resimleri küçültmen gerekiyor... Eline sağlık

Teşekkürler

bidahakine resim boyutlarına dikkat ederim

Arenklord' Alıntı:
Eline sağlık novem

Teşekkürler hocam

El Petr' Alıntı:
Eline koluna sağlık yaralı faydalı konu

Teşekkürler

Noxe' Alıntı:
Eline sağlık

Sağolun hocam

HaCkEr_33' Alıntı:
eline saglik novem

Saol şef

'Efkar' Alıntı:
Elinize Sağlık

Teşekkürler

THE zoRRo' Alıntı:
Eline sağlık.

Teşekkürler

Yeni Kullanıcıyım Ben' Alıntı:
Elinize sağlık vaktim olduğunda okuyacağım, güzele benziyor.

Teşekkürler

oku tabi

Ez_Zero' Alıntı:
Eline sağlık gayet başarılı

Teşekkürler

Safak-Bey' Alıntı:
Eline sağlık.

Teşekkürleer

Floria1' Alıntı:
Eline sağlık

Teşekkürler

lreax' Alıntı:
eline sağlık

Teşekkür ederim

H@cked BaBy' Alıntı:
Ben burdayım parlıyorum diyor.
Cidden eline sağlık güzel olmuş

teşekkürler

renklendireyim dedim

"Sensitive Data Exposure" Nedir,Nasıl Yararlanılır?

Üye

Nedir bu Sensitive Data Exposure​

Peki nasıl bu açıktan yararlanabilir?​

Karşımıza bu ekran geldi ne​

yapmalıyız?​

Uzman üye

Uzman üye

Katılımcı Üye

Nedir bu Sensitive Data Exposure​

Peki nasıl bu açıktan yararlanabilir?​

Karşımıza bu ekran geldi ne​

yapmalıyız?​

Uzman üye

Katılımcı Üye

Üye

Üye

Katılımcı Üye

Üye

Katılımcı Üye

Uzman üye

Katılımcı Üye

Yeni üye

Uzman üye

Katılımcı Üye

Üye

Medyanın Yıldızı

Üye

Nedir bu Sensitive Data Exposure

Peki nasıl bu açıktan yararlanabilir?

Karşımıza bu ekran geldi ne

yapmalıyız?

Nedir bu Sensitive Data Exposure

Peki nasıl bu açıktan yararlanabilir?

Karşımıza bu ekran geldi ne

yapmalıyız?